Backdoor BASICSTAR
Grožnja Charming Kitten, ki izvira iz Irana in je znana tudi kot APT35, CharmingCypress, Mint Sandstorm, TA453 in Yellow Garuda, je bila nedavno povezana s serijo novih napadov, usmerjenih na strokovnjake za politiko Bližnjega vzhoda. Ti napadi vključujejo uporabo novih stranskih vrat, imenovanih BASICSTAR, ki se uporabljajo z ustvarjanjem goljufivega portala za spletne seminarje.
Charming Kitten ima izkušnje z izvajanjem različnih kampanj socialnega inženiringa, pri čemer uporablja taktike, ki so v veliki meri usmerjene na različne subjekte, vključno z možganskimi trusti, nevladnimi organizacijami (NVO) in novinarji.
Kazalo
Kibernetski kriminalci uporabljajo različne taktike lažnega predstavljanja, da ogrozijo žrtve
CharmingKitten pogosto uporablja nekonvencionalne tehnike socialnega inženiringa, kot je vključevanje tarč v dolgotrajne e-poštne pogovore, preden uvede povezave do nevarne vsebine. Microsoft je razkril, da je ta akter grožnje izbral pomembne posameznike, ki se ukvarjajo z zadevami na Bližnjem vzhodu, da razširjajo zlonamerno programsko opremo, kot sta MischiefTut in MediaPl (znana tudi kot EYEGLASS), zasnovano za pridobivanje občutljivih informacij iz ogroženih gostiteljev.
Skupina, ki naj bi bila povezana z iransko Islamsko revolucionarno gardo (IRGC), je v preteklem letu razdelila različna druga stranska vrata, vključno s PowerLess, BellaCiao, POWERSTAR (aka GorjolEcho) in NokNok . To poudarja njihovo zavezanost vztrajanju pri kibernetskih napadih, prilagajanju taktik in metod kljub temu, da so javno razkriti.
Napadalci se predstavljajo kot zakoniti subjekti, da bi pretentali žrtve
Napadi lažnega predstavljanja pod drobnogledom so vključevali operaterje Charming Kitten, ki so prevzeli krinko Mednarodnega inštituta za iranske študije Rasanah (IIIS), da bi sprožili in vzpostavili zaupanje s svojimi tarčami.
Ti poskusi lažnega predstavljanja so znani po uporabi ogroženih e-poštnih računov legitimnih stikov, kot tudi več e-poštnih računov pod nadzorom akterja grožnje, praksa, znana kot oponašanje več oseb (MPI).
Sekvence napadov običajno vključujejo arhive RAR, ki vsebujejo datoteke LNK, kot začetni korak za širjenje zlonamerne programske opreme. Sporočila potencialne tarče spodbujajo k sodelovanju v goljufivem spletnem seminarju o temah, prilagojenih njihovim interesom. V enem opazovanem scenariju večstopenjske okužbe sta bila nameščena BASICSTAR in KORKULOADER, skripta za prenos PowerShell.
Zlonamerna programska oprema BASICSTAR zbira občutljive informacije iz ogroženih sistemov
BASICSTAR, identificiran kot zlonamerna programska oprema Visual Basic Script (VBS), izkazuje zmožnosti, kot je zbiranje temeljnih informacij o sistemu, izvajanje ukazov na daljavo s strežnika Command-and-Control (C2) ter prenos in predstavitev vabljive datoteke PDF.
Poleg tega so določeni napadi z lažnim predstavljanjem strateško zasnovani za zagotavljanje različnih stranskih vrat na podlagi operacijskega sistema ciljnega računalnika. Žrtve, ki uporabljajo Windows, so ogrožene prek POWERLESS. Hkrati so uporabniki sistema Apple macOS izpostavljeni verigi okužb, ki se zaključi z NokNok, ki jo omogoča funkcionalna aplikacija VPN, ki vsebuje vdelano zlonamerno programsko opremo.
Raziskovalci navajajo, da akter grožnje izkazuje visoko stopnjo predanosti nadzoru nad svojimi cilji, s ciljem prepoznati najučinkovitejše metode manipulacije in uvajanja zlonamerne programske opreme. Poleg tega CharmingKitten izstopa med drugimi akterji groženj z doslednim sprožanjem številnih kampanj in uvajanjem človeških operaterjev v podporo njihovim tekočim pobudam.
